2017 年 7 月22- 27 日,全球矚目的Black Hat
2017 在美國拉斯維加斯盛大舉行,作為信息安適領(lǐng)域的頂級盛事,從黑客大咖到全球頂尖安適企業(yè)都將使出他們的渾身解數(shù),來展示最新的技術(shù)研究成果。所以,每年Black
Hat都會帶來許多聞所未聞的安適攻防技術(shù)。值得關(guān)注的是,在Black Hat2015 上因分享
“新型SQL注入檢測與防御引擎SQLChop”而獲得全球安適專家一致認(rèn)可的新銳安適企業(yè)長亭科技,再次現(xiàn)身Black
Hat2017 分享其最新技術(shù)發(fā)現(xiàn)成果,接下來讓我們一探究竟。
據(jù)悉,本年長亭科技的議題選用一個(gè)具有中國文化含義的表達(dá)——many birds one stone,“一石多鳥:利用單個(gè)SQLite漏洞破解多個(gè)軟件”,是一個(gè)與SQL內(nèi)存破壞漏洞相關(guān)的話題。
圖1:通過80%篩選率,長亭科技技術(shù)議題入選BlackHat
圖2:長亭科技中選議題及內(nèi)容
SQLite作為嵌入式Database軟件,廣泛用于應(yīng)用軟件中的當(dāng)?shù)?客戶端存儲,如Web瀏覽器和APP移動應(yīng)用程序。SQLite中的內(nèi)存損壞錯(cuò)誤通常不被視為安適問題,因?yàn)槿藗冋J(rèn)為它不成能被利用。長亭安適研究實(shí)驗(yàn)室經(jīng)過一段時(shí)間的研究發(fā)現(xiàn),利用SQL的另一種攻擊思路——基于內(nèi)存破壞的SQL攻擊,并經(jīng)過四個(gè)維度驗(yàn)證:基于SQL內(nèi)存破壞漏洞攻擊,危害非常大!
基于SQL內(nèi)存破壞漏洞進(jìn)行攻擊,可能造成:單一漏洞可以同時(shí)破解掉最常見的Safari、Chrome、Opera等瀏覽器,以及,你手機(jī)上最常出現(xiàn)的多種APP。這些攻擊可以造成大范圍的用戶信息泄露,不但局限于網(wǎng)站上填寫的姓名電話等用戶基礎(chǔ)信息,更包孕了支付軟件中的銀行卡等敏感信息,一旦被意圖不軌者掌握并利用,后果非常嚴(yán)重。針對應(yīng)用層的攻擊頻次比年增長,攻擊方式更加多元,而越來越多企業(yè)的業(yè)務(wù)又依靠互聯(lián)網(wǎng)來實(shí)現(xiàn),防止應(yīng)用層安適失守成為企業(yè)不成回避的問題。
本年 3 月,長亭安適研究實(shí)驗(yàn)室在Pwn2Own角逐上首次使用了這種技巧,并在Black
Hat USA
2017 大會上將技術(shù)公開分享,以實(shí)際的內(nèi)存損壞案例展示攻擊危險(xiǎn)。長亭科技的這個(gè)研究發(fā)現(xiàn),為企業(yè)的安適防護(hù)提供了新思路,及時(shí)制止黑客攻擊造成的損失。目前,,長亭已經(jīng)將相關(guān)漏洞提供給了對應(yīng)廠商,均已及時(shí)得到修復(fù)。
兩年前的Black Hat2015 大會上,長亭科技就曾受邀Black
Hat分享SQL注入攻擊的相關(guān)研究發(fā)現(xiàn)——“無規(guī)則SQL注入攻擊檢測與防御引擎”;除了演講,長亭科技還將技術(shù)研究成果送上了Blackhat的展示舞臺軍械庫。ARSRNAL上曾出現(xiàn)過不少優(yōu)秀的工具,有一些很多年前的工具甚至在現(xiàn)在仍然無法被超越,而這個(gè)獲得全球頂級技術(shù)專家一致認(rèn)可的研究成果,正是長亭雷池(SafeLine)下一代Web應(yīng)用防火墻的技術(shù)雛形。
圖3:想體驗(yàn)這款SQLChop進(jìn)階版,請移步https://sqlchop.chaitin.cn
此外,還需要提及的是,在Black Hat2017 上長亭科技兩人獲得Pwnie
Awards兩個(gè)獎(jiǎng)項(xiàng)提名。公開資料顯示有白帽黑客奧斯卡之稱的Pwnie
Awards獎(jiǎng)是BlackHat上的保存節(jié)目,專為有重大和突出研究成果的信息安適工作者設(shè)立,對于全球范圍內(nèi)的信息安適工作者來說,獲得Pwnie
Awards獎(jiǎng)提名是其職業(yè)生涯中極為榮耀的一刻。
圖5:長亭科技兩人獲得Pwine Awards兩大獎(jiǎng)項(xiàng)提名
被提名和得獎(jiǎng)都是全球安適業(yè)界最高級別榮譽(yù)的象征,這也意味著長亭科技的兩位被提名者的研究成果不但要有實(shí)實(shí)在在的影響力,而且還要具備前瞻性,能夠?yàn)榘策m行業(yè)的未來發(fā)展產(chǎn)生深入影響。
